Hardening – Blindando seu Registro.BR

Publicado em 09/12/2.023 na revista nº 17 da H2Hc – 20 anos, página 24-26, também disponível na versão online em https://www.h2hc.com.br/br/pages/magazines.html

 

Atualmente, quando abordamos o conceito de hardening, reforço da segurança de sistemas, é fundamental considerarmos que a proteção do ambiente web tem seu início no processo de registro do domínio. Muitas vezes, mesmo após a realização de testes de intrusão, implementação de medidas de hardening e auditorias no ambiente, fragilidades ainda podem persistir nesse ponto crítico, comprometendo a segurança de todo o ecossistema.

 

A seguir, alguns casos de ataques que ocorreram através do abuso de fragilidades deixadas no registro do domínio:

 

1. https://www.nic.br/noticia/na-midia/como-hackers-sequestraram-um-banco-brasileiro/
2. https://livecoins.com.br/urgente-negociecoins-tem-site-hackeado/
3. https://www.reclameaqui.com.br/registro-br-nic-br/hackearam-minha-conta-do-registro-br-e-habilitaram-um-token-de-acesso-em-du_6hARGzDbP7KZF-PD/

 

É comum nos depararmos com domínios registrados no Registro.br em nome de indivíduos ou entidades sem nenhum vínculo direto com a organização proprietária. Esses registros podem ter sido efetuados por técnicos de TI, webmasters ou pessoas com conhecimentos limitados em informática e segurança cibernética (o famoso “sobrinho que entende”) sem a devida diligência na gestão desses ativos.

 

É crucial entender que um domínio é um ativo valioso, comparável a um bem físico, como um veículo ou um imóvel. O proprietário listado no Registro.br é o legítimo proprietário do nome da empresa na internet, e qualquer falha neste ponto pode resultar em sérias consequências.

 

Com a quantidade de vazamentos e senhas à disposição, um atacante pode encontrar um acesso ao registro.br e obter acesso ao Contato Titular, Administrativo ou Técnico. Os transtornos podem ser graves, pois, dentre outras coisas, poderá alterar os servidores DNS, redirecionando o tráfego para servidores sob seu controle. Isso pode permitir, por exemplo, que o atacante intercepte e-mails em um servidor de e-mails com uma conta “catch all” sob seu controle, recebendo mensagens críticas de segurança, como redefinição de senhas ou alertas de mudança de senha em redes sociais, que frequentemente são direcionados para nossas caixas de e-mail, já que este é um dos principais pontos de convergência digital nos dias de hoje.

 

Outro risco que vale ser mencionado é a possibilidade de direcionamento do tráfego Web para um proxy controlado pelo atacante e reenvio para o servidor original, configurando assim, um ataque do tipo MITM (Man In The Middle), onde pode-se interceptar o tráfego Com exceção de alguns casos específicos que não são comuns para acesso a sites por usuários (como, por exemplo, certificate pinning), tal ataque funciona mesmo com httpS, já que, com acesso no DNS do alvo é possível a emissão de certificados válidos, como por exemplo, utilizando a autoridade certificadora gratuita Let’s encrypt.

 

É importante destacar que algumas configurações no Registro.br são específicas para cada domínio. Portanto, caso você seja responsável por vários domínios, será necessário revisar e adequar as configurações em cada um deles individualmente.

 

A seguir, algumas medidas de hardening recomendadas para mitigar essas ameaças nos domínios:

 

• Monitoramento constante para verificar a disponibilidade do domínio, datas de vencimento ou qualquer alteração nos registros (IDs ou servidores DNS). Ferramentas como o Nagios podem ser empregadas para obter visibilidade imediata sobre problemas.

          Exemplo de script bash para verificar alterações:

 

 

• Utilização de senhas complexas e exclusivas, somadas à ativação da Autenticação de Múltiplos Fatores (MFA) em todas as contas de registro de domínio. Essa prática reforça a segurança e dificulta acessos não autorizados em caso de vazamento de senhas.

 

• Criação de IDs separados para funções específicas, como Contato do Titular, Contato Administrativo, Contato Técnico e Contato de Cobrança. Isso garante que, em caso de perda de acesso ou necessidade de delegação de responsabilidades, a organização esteja preparada, concedendo o mínimo acesso necessário para a execução de cada tarefa..

 

• Utilizar e-mails de grupos de colaboradores ao invés de contas individuais, para que mais pessoas sejam notificadas em caso de alteração. Esta abordagem distribuída dificulta ataques de spear phishing, uma vez que se torna mais desafiador, para o atacante, a identificação de particularidades do(s) alvo(s).

 

• Optar por nomes genéricos para e-mails de contato, como idtecnico@ ou webmaster@, como medida de segurança contra ataques de engenharia social.

 

• Colocar estes grupos como e-mail de contato individual para cada respectivo contato no registro.br. Motivo: Qualquer comunicação será recebida por todo o grupo. A ideia é que não se saiba quem é o destinatário e que mais de uma pessoa esteja atenta.

 

• Estes grupos devem ser utilizados somente para este fim, pois desta forma temos mais consciência que só deveríamos receber mensagens enviadas por entidades de registro, assim se receber de outro tipo de remetente poderá ser ignorado. Importante: No grupo de cobrança coloque alguém da área técnica também, pois a pessoa responsável pelo pagamento pode não saber identificar os boletos de registro de domínio legítimos dos falsos.

 

• Um dos grupos (eu sugiro o Contato do Titular) não deve pertencer ao mesmo domínio que está sendo registrado, nem conter somente e-mails do domínio, se for mais de um, melhor. Motivo: Caso as entradas de DNSs ou servidores de e-mail sejam comprometidos você ainda tem uma chance de acessar, alterar ou resetar os acessos e configurações, pois as mensagens chegarão neste e-mail “de fora” do domínio em questão.

 

• O Contato Titular deve ficar sob dupla custódia (ex: uma pessoa possui a senha e outra possui o token). Motivo: Como são acessos de alto privilégio, é melhor que mais de uma pessoa tenha que ser acionada para quaisquer alterações, ou criação de novos domínios. Uma vez que os mais usados são sempre o Contato Administrativo e o Contato Técnico, esta prática não causará grandes transtornos, mas vai agregar um nível de segurança maior.

 

• Estar atento aos alertas enviados aos grupos criados para esse fim. Perdendo o acesso a algum ID de contato, o ID superior deverá logar e removê-lo dos contatos. Motivo: não adianta colocar cães de guarda no quintal e não ir verificar quando eles latirem ;-))).

 

• Implementar o DNSSec para reforçar a autenticidade dos endereços IP associados ao seu domínio, reduzindo o risco de redirecionamentos maliciosos.

 

• Utilizar servidores de DNS distribuídos em regiões geográficas distintas para garantir a disponibilidade do serviço. Em caso de problemas de acesso a um local, o alternativo continuará funcionando. Atualmente, grandes bigtechs já oferecem isso por padrão, AWS Route 53, CloudFlare…)

 

• Manter cópias de backup das configurações DNS, pois nunca se sabe quando serão necessárias.

 

Exemplo de um domínio com as dicas de hardening aplicadas:

https://registro.br/tecnologia/ferramentas/whois/?search=hackerspace.floripa.br

 

Em resumo, fortalecer a segurança no registro de domínio é um passo crítico para proteger a integridade de uma presença online e evitar um ataque de Domain Take Over.

 

A  implementação de medidas de hardening, monitoramento constante e a adoção de práticas recomendadas serão sempre fundamentais para  mitigar os riscos associados a possíveis vulnerabilidades neste importante aspecto da segurança cibernética, bem como a conscientização dos times que estarão nestes grupos, responsáveis por estes contatos, em compreender suas responsabilidades e os ataques que cada dia estão mais sofisticados.

 

#ficaXperto